Una nuova campagna malware legata a SmartLoader sta sfruttando un vettore sempre piu rilevante nella sicurezza software: la supply chain degli strumenti per intelligenza artificiale. I ricercatori hanno osservato la distribuzione di una versione trojanizzata di un server MCP (Model Context Protocol) collegato al mondo Oura, usato per connettere assistenti AI ai dati sanitari del dispositivo. Lo scopo finale e installare StealC, un infostealer progettato per rubare credenziali, password salvate nei browser e dati da wallet di criptovalute.

SmartLoader e noto come malware loader, cioe un componente iniziale che prepara il terreno e scarica altri payload. In passato e stato diffuso tramite repository GitHub falsi con esche generate con AI, spesso mascherati da cheat per videogiochi, software craccati e utility crypto. Il meccanismo tipico spinge le vittime a scaricare archivi ZIP che avviano la catena di infezione. In questa evoluzione, pero, il bersaglio si sposta verso sviluppatori e ambienti tecnici, dove sono presenti chiavi API, credenziali cloud e accessi a sistemi di produzione.

La campagna descritta punta a costruire fiducia nel tempo. Gli attaccanti avrebbero creato diversi account GitHub fittizi per generare fork apparentemente legittimi del progetto MCP, poi un repository separato contenente il payload malevolo. Per aumentare la credibilita, gli stessi account vengono aggiunti come contributori, simulando una community attiva. Il passo successivo e la pubblicazione del server trojanizzato in registri e directory MCP come MCP Market, sfruttando la reputazione della piattaforma per ottenere download da parte di utenti inconsapevoli.

Quando la versione malevola viene avviata tramite ZIP, entra in gioco uno script Lua offuscato che rilascia SmartLoader. Da li, il loader procede con il deploy di StealC, abilitando la raccolta di dati sensibili e potenzialmente facilitando intrusioni successive.

Per ridurre il rischio, le organizzazioni dovrebbero:

• Censire i server MCP installati per identificare componenti non autorizzati o non verificati.
• Introdurre una revisione di sicurezza formale prima dell’adozione di tooling AI e integrazioni MCP.
• Verificare origine e integrita dei repository (provenienza, maintainer, firme, commit e release).
• Monitorare traffico in uscita sospetto e indicatori di esfiltrazione dati.
• Controllare meccanismi di persistenza per intercettare installazioni e riavvii anomali dei componenti.

Questo scenario mostra come le euristiche di fiducia tradizionali applicate a GitHub e ai registri software possano essere aggirate in modo metodico.